《网络攻防》 恶意代码分析
20145224陈颢文 《网络攻防》恶意代码分析
基础问题回答
如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。
创建进程、修改注册列表、网络连接;可以使用任务管理器和抓包工具,但是这样太费时费力了,还是用计划任务吧;
如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。
可以使用反汇编或者反编译工具查看他的代码,也可以让他在沙盘中运行看他的行为,或者上传到
VirusTotal
中扫面以下,看他的行为分析;
实验总结与体会
- 既然已经认识到杀软也不是那么的靠谱了,靠天靠地不如靠自己,自己设个计划任务监管自己的电脑吧,不过这个过滤条件一定要设置得精细,不然日志中的事件实在是太多了看不过来;
实践过程记录
GE_Windows计划任务schtasks
- 在控制面板中打开
任务计划程序
,在右边“操作”窗口中点击创建任务
- 输入任务名和描述,注意要勾选
使用最高权限运行
- 触发器选择5分钟一次:
- 操作为
启动程序
,程序或脚本
填“cmd /c netstat -bn > c:\netstatlog.txt”:
- 在C盘就可以看到
netstatlog.txt
文件啦:
Sysmon
sysmon
是sysinternals
套件中的一个工具,可以在老师的Git里去下载;写好配置文件,我的建议是写的仔细一些,把常用的类似于浏览器、迅雷、输入法、各种播放器排除在外;
然后右键选择
命令提示符(管理员)
,
转到sysinternals
目录下,运行sysmon.exe -i 配置文件所在路径
;
这样sysmon
就配置好了,一天后等着收网就好啦!想找到
sysmon
记录下来的文件,在"运行"窗口输入命令eventvwr
,应用程序和服务日志
->Microsoft
->Windows
->Sysmon
->Operational
日志条目特别多,但我还是发现了异常项:
把目的IP百度了一下:
百度中也没有对这个地址的负面报道,自己看看不出个所以然来,就安慰自己是sysmon
漏记了相关信息了吧~
恶意代码的分析
- 首先是拿恶意代码送检,查看他的行为分析:
可以看到这个程序会建立到一个指定的套接字链接
,说明这个程序会自动的链接网络;它还删除注册列表,仔细看看,他删的还是ErrorRrporting
,哇塞,这就很可疑了,你不干坏事的话删这注册列表干嘛!
转载于:https://www.cnblogs.com/20145224kevs/p/6641936.html
《网络攻防》 恶意代码分析相关推荐
- FBI针对Tor网络的恶意代码分析
一.背景 Tor(The Oninon Router)提供一个匿名交流网络平台,它使得用户在浏览网页或访问其它网络服务时不会被跟踪.作为该网络的一部分即所谓的"暗网"(darkne ...
- 20145236《网络攻防》Exp4 恶意代码分析
20145236<网络攻防>Exp4 恶意代码分析 一.基础问题回答 如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么.请设计下你想监控的操作有哪些 ...
- 20155235 《网络攻防》 实验四 恶意代码分析
20155235 <网络攻防> 实验四 恶意代码分析 实验目的 是监控你自己系统的运行状态,看有没有可疑的程序在运行. 是分析一个恶意软件,就分析Exp2或Exp3中生成后门软件:分析工具 ...
- 20155318 《网络攻防》Exp4 恶意代码分析
20155318 <网络攻防>Exp4 恶意代码分析 基础问题 如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么.请设计下你想监控的操作有哪些,用什 ...
- 20145328 《网络对抗技术》恶意代码分析
20145328 <网络对抗技术>恶意代码分析 ------看到这句话说明还没写完-------- 实践内容: 使用schtasks指令监控系统运行 使用sysmon工具监控系统运行 使用 ...
- 2018-2019-2 网络对抗技术 20165324 Exp4:恶意代码分析
2018-2019-2 网络对抗技术 20165324 网络对抗技术 Exp4:恶意代码分析 课下实验: 实践目标 是监控你自己系统的运行状态,看有没有可疑的程序在运行. 是分析一个恶意软件,就分析E ...
- 2018-2019-2 网络对抗技术 20165320 Exp4 恶意代码分析
2018-2019-2 网络对抗技术 20165320 Exp4 恶意代码分析 一.实践目标 监控你自己系统的运行状态,看有没有可疑的程序在运行 分析一个恶意软件,就分析Exp2或Exp3中生成后门软 ...
- 20155317《网络对抗》Exp4 恶意代码分析
20155317<网络对抗>Exp4 恶意代码分析 基础问题回答 如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么.请设计下你想监控的操作有哪些,用 ...
- 2017-2018-2 20155228 《网络对抗技术》 实验四:恶意代码分析
2017-2018-2 20155228 <网络对抗技术> 实验四:恶意代码分析 1. 实践内容 1.1 系统运行监控 使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,连接的外部 ...
最新文章
- 彻底疯了,要给雷锋开博客?
- Python的reshape(-1,1)
- php curl 库参数,PHP 关于curl库参数问题的求助!!!
- Java 反射机制深入研究
- mysql mdl 锁_MySQL MDL锁
- bizhubc226说明书_bizhub c226驱动下载-柯尼卡美能达c226驱动下载 v1.0官方版--pc6下载站...
- win7系统服务器管理器在哪里找,win7打开服务管理器
- excel如何利用VBA一键更改所有文件的名称
- oracle oem登录xdb,XDB sys_nc_oid$递归调用的案例一则
- 全国省市区java_Jsoup获取全国地区数据(省市县镇村)
- 生活的压力和生命的尊严,哪个更重要?
- 北京熊通科技 招聘FPGA研发工程师
- 一款轻、快、无广告的杀毒安全软件(火绒5.0)
- 安卓bmi项目_Android之BMI(身体质量指数)计算器
- oj试题 火车票退票费计算(函数专题)(1103)
- 强化学习——Q-Learning算法原理
- 如何在VR(虚拟现实)中制作物体或物体?
- 初学爬虫-翻译软件爬虫
- 敢问出路在何方?——给资深程序员的一封推荐信
- leetcode系列-700.二叉搜索树中的搜索
热门文章
- 一个高性能服务器需要关注的地方
- unity3d占用内存太大解决方法
- apmserv mysql5.1启动失败,win10系统无法正常运行apmserv显示apache和mysql启动失败怎么办...
- bigemap批量添加第三方在线地图浏览
- CloudFlare Workers 设置使用自定义域名
- c# chart 各个属性_C# Chart详细解析(待)
- 组装苹果xsmax价格是多少?
- 工具类(Excel)[一]
- spawn cmd.exe ENOENT 错误 解决办法
- 阿里大S,强推,接口测试之必会接口加密类型